Die Top-Themen: 10 Jahre KRITIS-Strategie | Hamad International Airport erhält Top-Bewertung für sein BCM | Durch Corona stillgelegte Anlagen bergen erhöhtes Ausfallrisiko | Versicherer arbeiten an einer Absicherung in Pandemiefällen | Supply Chain Risk Insights 2020 und Verknüpfung von BCM und SCM | Guideline zum sicheren Arbeiten währen der COVID-19 Pandemie | Neue Version der ISO 22313 (Guidance on the use of ISO 22301) veröffentlicht | Cloud – der ambivalente Notfallplan | it-sa 2020 verschoben auf 2021 | Erster nationaler Warntag im September
Vorwort
Nach weiteren zwei Monaten Corona-Pandemie treffen immer neue Paradoxa aufeinander. Während lokale Epidemiezentren mit teilweise hohen Reproduktionszahlen immer wieder aufpoppen, wird gleichzeitig der Ruf laut, die Schutzmaßnahmen immer weiter herunterzufahren. Dabei reicht ein Blick in andere Länder um erkennen zu können, wie sich die Lage bei nicht ausreichenden Maßnahmen entwickeln könnte.
Verständlicherweise kann und soll das Geschäftsleben dennoch in erforderlichem Maße zeitnah wieder anlaufen. Zu einem sicheren Wiederanlauf gehört dabei aber auch, diesen immer unter dem Aspekt einer ausreichenden Sicherheit für Mitarbeiter und Kunden zu planen und vorzubereiten.
Um dies gewährleisten zu können, wurden in den letzten Monaten immer neue Richtlinien und Standardwerke veröffentlicht und stetig weiterentwickelt, auf die wir neben vielen weiteren Themen im Rahmen dieses Newsletters eingehen möchten.
Neuigkeiten
10 Jahre KRITIS-Strategie
Die Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) feierte in 2019 zehnjähriges Jubiläum. Aus diesem Anlass legte das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe im Mai einen Umsetzungsbericht vor.
Auch das BSI plant in den nächsten Wochen mehrere Beiträge über die aktuellen Entwicklungen und Publikationen zum Schutz Kritischer Infrastrukturen zu veröffentlichen.
Nach Hackerangriffen auf DKB und andere Banken: Durchsuchungen bei Beschuldigten
In den vergangenen Monaten wurden die DKB, weitere Banken sowie mehrere Kritische Infrastrukturen sowohl direkt als auch indirekt Opfer von Cyberangriffen. Die Angriffe wurden dabei häufig mit dem User des Twitter-Accounts „Naifu911“ in Verbindung gebracht. Das LKA Schleswig-Holstein und das BKA wollen nun die mutmaßlichen Verantwortlichen aufgespürt haben. Die verursachten Schäden sollen dabei in Millionenhöhe liegen. Vorgeworfen wird ihnen nun Computersabotage in besonders schweren Fällen und versuchte Erpressung.
https://netzpolitik.org/2020/ddos-serie-angriff-aus-einsamkeit/#spendenleiste
Hamad International Airport erhält Top-Bewertung für sein BCM
Der Verkehrsflughafen in Doha, der Hauptstadt Katars, hat als einer der wenigen Flughäfen in der Welt sein BCM nach der ISO 22301 zertifizieren lassen. In der aktuellen Corona-Krise zeigt der Flughafen mit der Zertifizierung sein Commitment zur kontinuierlichen Verbesserung und Resilienz. Mit Hilfe des BCM will der Flughafen auch in Notzeiten seinen Gästen einen zuverlässigen Service bieten.
http://www.tradearabia.com/news/TTN_369400.html
BaFin fokussiert Klima- und Umweltrisiken im BCM
Das aktuelle BaFin Journal thematisiert u.a. den Umgang mit Klima- und Umweltrisiken. Das „Network for Greening the Financial System“ (NGFS) erwartet zukünftig, dass Aufseherinnen und Aufseher auch Klima- und Umweltrisiken in die Aufsicht einbeziehen. Die BaFin trägt diesem Wunsch mit dem bereits im Dezember veröffentlichten Merkblatt zum Umgang mit Nachhaltigkeitsrisiken Rechnung. Zum Notfallmanagement heißt es dort unter 5.11 (S. 24): „Die beaufsichtigten Unternehmen sollten prüfen, ob Nachhaltigkeitsrisiken angemessen im Notfallmanagement berücksichtigt werden. Insbesondere wird empfohlen, Notfallpläne zu ergänzen, wenn Nachhaltigkeitsrisiken die Fortführung der Geschäftstätigkeit des beaufsichtigten Unternehmens gefährden können. […]“
https://www.bafin.de/DE/PublikationenDaten/BaFinJournal/AlleAusgaben/bafinjournal_alle_node.html
Neues IT-Sicherheitsgesetz
Am 07. Mai wurde ein Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat zum zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme veröffentlicht.
Das neue Gesetz befasst sich unter anderem mit der Definition von „Infrastrukturen im besonderen öffentlichen Interesse“ sowie einer Bestimmung von „KRITIS-Kernkomponenten“.
Die Stiftung „Neue Verantwortung“ analysiert in ihrem Bericht den neuen Entwurf und kritisiert im Allgemeinen, dass die Aktualisierung ohne eine Evaluierung des ersten IT-Sicherheitsgesetztes geplant wurde.
Wissenswertes
Durch Corona stillgelegte Anlagen bergen erhöhtes Ausfallrisiko
Durch die Corona-Pandemie schlossen zahlreiche Unternehmen ihre Werke und brachten vorhandene Produktionsanlagen zum Stillstand. Folge sind die größten Werksschließungen seit dem Zweiten Weltkrieg. Aber auch stillstehende Gebäude und Maschinen stellen ein potenzielles, verzögertes Ausfallrisiko dar, beispielsweise durch unerkannte oder zu spät entdeckte Brände, Wassereinbrüche, Wartungs- und Pflegelücken, Vandalismus-Ereignisse und Diebstähle. Auch diese Risiken müssen weiter betrachtet werden, um den Wiederanlauf der Werke und Anlagen nicht zu gefährden.
Versicherer arbeiten an einer Absicherung in Pandemiefällen
Zur effizienten Absicherung von Pandemie-Risiken arbeitet der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) an einem neuen Konzept. Allianz-Chef Oliver Bäte bevorzugt ein staatlich-privates Versicherungssystem, da er der Meinung ist, dass die Versicherungsbranche Systemausfälle, wie durch die Corona-Pandemie verursacht, nicht beherrschen kann. Zudem steht die Einrichtung einer europaweiten Lösung zur Debatte, die auch schwere Naturkatastrophen versichern würde, die im Zuge des Klimawandels eintreten könnten. Durch solch eine Versicherung könnten die Folgen finanzieller Schäden verringert werden. Regulatorische Verstöße und Reputationsschäden, die mitunter weitaus schwerere Folgen haben, können dadurch natürlich auch weiterhin nicht abgesichert werden.
Maßnahmen zur Entlastung des Krisenstabs
Im Rahmen des Corona-Ausbruchs bei Tönnies ist der Krisenstabsleiter für den Landkreis Gütersloh aufgrund einer vermuteten Überbelastung kollabiert. Das Ereignis zeigt, dass Krisenstabsarbeit stets als Marathon und nicht als Sprint gesehen werden sollte. Die Aufgaben und Verantwortlichkeiten sollten gleichmäßig auf alle Krisenstabsmitglieder verteilt werden und nicht auf einer Person lasten. Durch Üben und Testen kann geprüft werden, ob die vorhandene Struktur geeignet ist, durch das Schaffen einer Routine die Last aller Krisenstabsmitglieder zu reduzieren. Natürlich kann es im Ernstfall dennoch immer wieder zu extremen Situationen kommen. Hier sollte das Team aufeinander achten und frühzeitig stark belastete Mitglieder durch z.B. eine vorhandene Stellvertreterregelung entlasten.
https://www.n-tv.de/politik/Guetersloher-Krisenstabsleiter-ist-kollabiert-article21867826.html
Supply Chain Risk Insights 2020 und Verknüpfung von BCM und SCM
Die Britisch Standard Institution (bsi.) hat ihren jährlichen Bericht „Supply Chain Risk Insights“ für 2020 veröffentlicht. Die bsi. prognostiziert in diesem Bericht die Trends, welche die globalen Lieferketten im kommenden Jahr maßgeblich beeinflussen werden. Neben den aktuellen Folgen des Coronavirus werden unter anderem auch politische Proteste und globale ideologische Verschiebungen sowie die Folgen des Klimawandels das Supply Chain und Continuity Management vor neue Herausforderungen stellen.
Ein neues Whitepaper „Supply Chain Resilience and Continuity: Closing Gaps Exposed in a Global Pandemic“ der ISACA (Information Systems Audit and Control Association) stellt Ansätze vor, wie Unternehmen die Widerstandsfähigkeit ihrer Lieferkette erhöhen können. Das Whitepaper befasst sich nicht nur mit der Frage, wie mögliche Lücken in der Business-Continuity-Planung geschlossen werden können, sondern untersucht auch, wie das Konzept auf andere funktionale Geschäftsbereiche ausgedehnt werden kann. Zudem skizziert es die wichtigsten Schritte, die im Business-Continuity-Planungsprozess berücksichtigt werden müssen.
Rückblick auf die gemeldeten IT-Sicherheitsvorfälle der Branche Telekommunikation 2019
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Rückblick auf die gemeldeten IT-Sicherheitsvorfälle der Telekommunikationsbranche im Jahr 2019 veröffentlicht. Der Sektor Informationstechnik und Telekommunikation gehört zur Kritischen Infrastruktur. Die Vorfälle lassen sich in fünf Hauptursachen unterteilen: technisches Versagen, Angriff Dritter, Ausfall externer Dienste, menschliches Versagen und Wartungsarbeiten. In 2019 wurden die meisten gemeldeten Vorfälle durch technisches Versagen oder den Ausfall von externen Diensten verursacht. Ein Angriff durch Dritte führte nur in 4% der Fälle zu einem meldepflichtigen Vorfall.
Studien beschäftigen sich mit Arbeiten in Zeiten von Corona
Die britische bsi. hat den „Special report: Working in the ‘new normal’“ herausgegeben. Dieser schlägt verschiedene Maßnahmen vor, wie unter den COVID-19-Bedingungen gearbeitet werden kann. Der Bericht befasst sich unter anderem mit den aktuellen Herausforderungen für das Risikomanagement und die Geschäftssicherheit oder den Folgen des Lockdowns für den Sicherheitssektor. Zudem wird ein Ansatz vorgestellt, wie das Facility Management für sichere Arbeitsbedingungen sorgen kann. Weiterhin geht es darum, wie Unternehmen unter den durch COVID-19 bedingten Restriktionen agieren und sich von der Krise erholen. Auch die neueste Ausgabe des Continuity & Resilience Magazins befasst sich näher mit den Auswirkungen der aktuellen COVID-19-Pandemie auf Organisationen und ihre Business Resilience sowie mit der Frage, wie sich die Business-Continuity-Management-Branche in der neuen Welt nach der Pandemie verändern wird.
https://www.bsigroup.com/en-GB/topics/novel-coronavirus-covid-19/the-new-normal/
https://www.thebci.org/product/continuity-magazine.html
Relevanz von Notfallkommunikation: Ausfälle bei T-Mobile sorgen für Verschwörungstheorien
Nach Änderungen an der Netzwerkkonfiguration kam es im Juni beim Mobilfunk-Anbieter T-Mobile zu weitreichenden Unterbrechungen in den USA. Aufgrund der Unterbrechung kam es zu Störungsmeldungen bei zahlreichen Unternehmen wie dem Streaminganbieter Netflix, den Großbanken Chase Bank und Bank of America sowie dem Sozialen Netzwerk Facebook.
Der Twitteraccount „Anonymus“ veröffentlichte daraufhin eine beeindruckende Angriffskarte und machte einen großflächigen DDoS-Angriff auf die USA für die Störungen verantwortlich. Der Tweet wurde schnell auf Twitter verbreitet und China als Angreifer beschuldigt. Wenige Stunden später konnten die Störungen allerdings behoben und Entwarnung gegeben werden, dass es sich doch nicht um einen DDoS-Angriff handelte.
Das Ereignis macht deutlich, wie dynamisch sich Falschmeldungen entwickeln können und wie relevant eine geplante und proaktive Notfallkommunikation ist. Es zeigt aber auch, wie relevant es in Notfallsituationen sein kann, Informationen stets kritisch zu würdigen, zu verifizieren und nach Möglichkeit durch mehrere Stellen bestätigen zu lassen.
https://www.inside-it.ch/de/post/nein-die-usa-erlitten-keinen-riesigen-ddos-angriff-20200616
Standards, Richtlinien und Leitfäden
Richtlinie zum sicheren Arbeiten während der COVID-19-Pandemie
Um das Risiko einer zweiten Corona-Welle zu verringern, hat die britische bsi. eine detaillierte Guideline erstellt, wie Unternehmen ihre Arbeitsstätten Corona-sicher gestalten können. Die zweite Version der Richtlinie bietet einen umfassenden, praktischen Ansatz, der für alle Organisationen, ob groß oder klein, anwendbar ist. Die Richtlinie enthält Empfehlungen für ein sicheres Arbeiten während der Pandemie auf der Grundlage von Anwendererfahrungen und Expertenbeiträgen. Sie wurden auf der Grundlage der besten und neuesten Informationen verbessert und erweitert. Es werden konkrete Maßnahmen vorgeschlagen, die vom Erreichen des Arbeitsplatzes, über das sichere Arbeiten und Bewegen am Arbeitsplatz, dem psychologischen Wohlbefinden der Mitarbeiter, bis hin zum sicheren Verlassen der Arbeitsstätte reichen.
Basierend darauf könnte sogar ein komplettes Managementsystem aufgebaut werden, welches den Kontext der Organisation berücksichtigt, die Risiken beurteilt und eine kontinuierliche Verbesserung der Maßnahmen vorsieht.
https://www.bsigroup.com/en-GB/topics/novel-coronavirus-covid-19/covid-19-guidelines/
Neue Version der ISO 22313 (Guidance on the use of ISO 22301) veröffentlicht
Der neueste Business-Continuity-Standard der ISO wurde veröffentlicht und ersetzt die vorherige Ausgabe der ISO 22313 durch eine aktualisierte Version – die ISO 22313:2020 "Guidance on the use of ISO 22301".
Die ISO 22313:2020 gilt als Anleitung und Empfehlung für die Umsetzung der Anforderungen der ISO 22301 „Business continuity management systems – Requirements“.
https://www.iso.org/standard/75107.html
Aktuelle BCM-Schadensereignisse
Unternehmensschließungen nach Corona-Ausbrüchen in mehreren Schlachtbetrieben
Die Corona-Ausbrüche in zahlreichen Schlachtbetrieben in Deutschland prägen derzeit die Medienlandschaft. Mehrere tausend Mitarbeiter verschiedener Schlachtbetriebe haben sich mit dem Virus infiziert. Für die Landkreise Gütersloh und Warendorf wurde beispielsweise erneut der temporäre Lockdown ausgerufen. Besonders die Arbeitsbedingungen in den Schlachtbetrieben werden für die zahlreichen Ansteckungsfälle verantwortlich gemacht. Die betroffenen Betriebe müssen sich jetzt nicht nur der zeitweisen Schließung, sondern auch den Reputationsschäden stellen. Vermutlich hätten viele Ausbrüche durch entsprechende Notfallmaßnahmen verhindert werden können. Hier stehen auch die BCM-Verantwortlichen in der Pflicht, indem sie auf die Umgebungsrisiken eingehen und entsprechende präventive und reaktive Maßnahmen veranlassen bzw. durchsetzen.
Cloud – der ambivalente Notfallplan
Nicht nur im Kontext der Digitalisierung setzen immer mehr Unternehmen auf Cloud-Services, auch als Ausfallstrategie für die lokale IT werden sie gerne verwendet. Besonders die Cloud-Services von großen Anbietern gelten als vermeintlich ausfallsicher und werden daher gerne als Rückfallebene für den Notfall gewählt. Aber auch hier gibt es keine hundertprozentige Sicherheit, wie beispielswiese der Ausfall von IBM Cloud-Diensten im Juni zeigte. IBM zufolge gab es Routing-Probleme bei einem Drittanbieter, die zu Störungen bei Kunden auf der ganzen Welt führten. Dienstagabend sowie in der Nacht auf Mittwoch waren die Cloud-Dienste von IBM nur eingeschränkt oder gar nicht erreichbar. Damit ist IBM nicht der einzige Cloud-Anbieter, der Ausfälle zu beklagen hat. Auch Strato, Google oder Microsoft kämpften mit weltweiten Ausfällen ihrer Cloud-Dienste. Ein Blitzeinschlag in einem Rechenzentrum von Microsoft führte etwa zu einer weltweiten Störung der Cloud-Plattform Azure.
Durch „abgegebene“ Risiken, werden folglich neue Risiken „eingekauft“. Diese müssen bewusst geprüft und akzeptiert werden, denn im Falle eines Cloud-Ausfalls besteht bspw. nur eine eingeschränkte bis gar keine Möglichkeit Einfluss auf den Wiederanlauf zu nehmen. Auch sollte die genaue Lösung vor wirtschaftlichen Aspekten betrachtet und genau gegeneinander abgewogen werden, da eine umfassende Absicherung durch die Cloud mitunter zu deutlich höheren Kosten führen kann, als eine vergleichbare eigene Notfalllösung.
https://www.com-magazin.de/news/business-cloud/datenflut-zwang-ibm-cloud-in-knie-2544585.html
Cyber-Attacke auf X-Fab legt Halbleiter-Produktion in Erfurt lahm
Der Halbleiter-Hersteller X-Fab hat mit den Folgen eines Cyber-Angriffes zu kämpfen: Das weltweit tätige Unternehmen stoppte sofort alle IT-Systeme und die Produktion in allen sechs Standorten.
Für das Werk in Erfurt wurde eine für das dritte Quartal geplante Stilllegung aufgrund der Corona-bedingten Auslastungsrückgänge vorgezogen.
Dieses Schadensereignis zeigt, welches Risiko eine internationale Vernetzung der IT mit sich bringt. Zwar können Kosten eingespart werden, wenn die Ressourcen über alle Standorte hinweg gebündelt und zentral verwaltet werden. Es bringt aber auch ein höheres Ausfallrisiko für alle Systeme, die zentral verknüpft sind, mit sich. Ein erfolgreicher Angriff an einem Standort kann so das ganze System des Unternehmens beeinträchtigen.
https://www.mdr.de/thueringen/mitte-west-thueringen/erfurt/cyberattacke-hackerangriff-x-fab-100.html
https://www.businesswire.com/news/home/20200705005045/en/X-FAB-Affected-Cyber-Attack
Veröffentlichungen
KRITIS Podcast:
In der zweiten Folge des Podcasts „Die Katschützer“ ist unser Kollege Manuel Atug zu Gast und spricht über seine Arbeit in der AG KRITIS. Zudem berichtet er von der Arbeit, die in das Konzept zum Cyberhilfswerk geflossen ist, was man mitbringen sollte, um in der AG KRITIS mitarbeiten zu können und über viele weitere Themen.
https://die-katschuetzer.de/2020/06/30/ag-kritis/
Veranstaltungen
Webinar: IT-Risikomanagement bei Cyber-Bedrohungslagen
Gerade durch Risikomanagement und -analysen ist es auch in komplexen Strukturen möglich, Abwägungen für Handlungsbedarfe herzuleiten. Ziel der Veranstaltung ist die Vermittlung der Anwendbarkeit von Risikoanalysen und damit die Möglichkeit zum Vergleich von Risiken und ermittelten Handlungsbedarfen. In diesem Webinar werden die Grundlagen zum Thema Risikoanalyse vermittelt und die Besonderheiten in der Behandlung von Cyber-Bedrohungen erläutert. Der Kurs unterstützt in der praktischen Anwendung der vermittelten Inhalte durch kleinere Übungen, die während der Veranstaltung durchgeführt werden. Es werden exemplarische (IT-)Assets betrachtet, mögliche Risikoszenarien hergeleitet und anschließend Maßnahmen zur Risikobehandlung erarbeitet.
Nächster Termin: 22.07.2020, 13:00-16:00
https://www.cyber-akademie.de/event/webinar-it-risikomanagement-bei-cyber-bedrohungslagen/
Deutscher Präventionstag – Nachholtermin
Der 25. Deutsche Präventionstag wird am 28. und 29. September stattfinden. Aufgrund der aktuellen Lage wird der Jubiläumskongress digital und interaktiv stattfinden. Das Schwerpunktthema in diesem Jahr lautet „Smart Prevention – Prävention in der digitalen Welt“.
https://www.praeventionstag.de/nano.cms/jahreskongress
it-sa 2020 verschoben auf 2021
Die für diesen Oktober geplante it-sa wurde auf den Oktober 2021 verschoben. Bis dahin soll eine neue digitale Plattform die für 2020 geplanten Beiträge online anbieten. Zudem sollen ganzjährig digitale Formate angeboten werden, die IT-Sicherheitsberater mit Experten und Entscheidern in Kontakt bringen.
https://www.it-sa.de/de/news/presseinformationen/2020-itsa-startschuss-365-pcc64e82rb_pireport
Erster nationaler Warntag seit langer Zeit
Am 10. September 2020 wird um 11:00 Uhr ein bundesweiter Probealarm durchgeführt und damit der erste Warntag seit der Wiedervereinigung durchgeführt. Alle vorhandenen Warnmöglichkeiten, wie Radio, Fernsehen, sozialen Medien, der Warn-App NINA, Sirenen, Lautsprecherwagen sowie digitale Werbetafeln sollen für die Alarmierung verwendet werden. 2020 stellt den Anfang des sich jährlich wiederholenden Warntages dar, der auf Basis eines Beschlusses der Innenministerkonferenz jedes Jahr am zweiten Donnerstag im September stattfinden soll. Ziel des Warntages ist es, die Akzeptanz und das Wissen um die Warnung der Bevölkerung in Notlagen zu erhöhen und damit deren Selbstschutzfertigkeiten zu stärken.
https://www.bbk.bund.de/SharedDocs/Pressemitteilungen/BBK/DE/2020/06/PM_Warntag2020_kommt.html
Die nächsten HiSolutions BCM-News erscheinen Mitte September 2020!
Lesen Sie hier alle bisher erschienenen BCM-News.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!